Мы уже смотрели в ранних статьях, какую функциональность предлагает нам OWA, теперь рассмотрим доступные в OWA опции, которые теперь вынесены в Exchange Control Panel или ECP. В ECP представлены как новые функции для Exchange 2010 OWA, так и функции из предыдущих версий OWA.
Пользователи могут логиниться непосредственно в ECP используя адрес https://yoururl.com/ecp, либо могут перейти туда, залогинившись в OWA и нажав в правом верхнем углу кнопку Options .
На скриншоте сверху вы видите стандартный вид ECP для пользователей, однако он может быть изменен. В этой статье я не смогу показать все возможности, но пользователям может быть делегировано право создавать почтовые ящики, группы, контакты и многие другие задачи.
Этим возможностями управляет новая система управления ролями - Role Based Authentication Control (RBAC). Если говорить очень упрощенно, то RBAC определяет, какие команды доступны на выполнение пользователю или администратору.
Давайте рассмотрим такой пример:
Пользователю доступны для изменения через ECP некоторые опции своего аккаунта.
В примере выше вы можете заметить, что вам недосупны для изменения поля Last Name, First Name, Email Address, и Display Name. Это означает, что по умолчанию пользователь не имеет возможности выполнять команды, изменяющие эти значения…..
Как мне узнать, какие возможности есть у пользователя?
Давайте запустим окно EMS и выполним команду get-mailbox brian.tirch | fl role*
Как вы видите, моему почтовому ящику назначена политика по умолчанию.
Теперь посмотрим что из себя представляет данная политика, выполнив следующую команду Get-RoleAssignmentPolicy “default role assignment policy”
[PS] C:\>Get-RoleAssignmentPolicy “default role assignment policy” IsDefault : True Description : This policy grants end users permissions to set their Outlook Web App options and perform other se f-administration tasks. AdminDisplayName : ExchangeVersion : 0.11 (14.0.509.0) Name : Default Role Assignment Policy Identity : Default Role Assignment Policy RBAC-Policy IsValid : True
Как мы видим, данная политика устанавливается по умолчанию для всех пользователей.
Теперь запустим следующую команду:
Get-ManagementRoleAssignment
Данный командлет покажет нам все доступные роли, который довольно много. Давайте посмотрим какие роли применены в политике по умолчанию
Для этого выполним следующую команду
(Get-ManagementRoleAssignment | where {$_.roleassigneename -eq ‘Default role assignment policy’}) | ft Name,RoleassigneeName
Name Role RoleAssigneeName —- —- —————- MyBaseOptions-Default Role Assignmen… MyBaseOptions Default Role Assignment Policy MyContactInformation-Default Role As… MyContactInformation Default Role Assignment Policy MyVoiceMail-Default Role Assignment … MyVoiceMail Default Role Assignment Policy MyTextMessaging-Default Role Assignm… MyTextMessaging Default Role Assignment Policy MyDistributionGroupMembership-Defaul… MyDistributionGroupMembership Default Role Assignment Policy
Теперь мы знаем что в Default Role Assignment Policy используется комбинация из 5-ти ролей, но мы до сих пор не знаем что выполняет каждая из этих ролей.
Теперь используем ещё один командлет….
PS] C:\>Get-ManagementRole my*
name RoleType — ——– myBaseOptions MyBaseOptions myContactInformation MyContactInformation myDiagnostics MyDiagnostics myDistributionGroupMembership MytributionGroupMembership myDistributionGroups MyDistributionGroups myProfileInformation MyProfileInformation myRetentionPolicies MyRetentionPolicies myTextMessaging MyTextMessaging myVoiceMail MyVoiceMail
Как вы можете видеть, есть дополнительные роли, которые на незначены по умолчанию в дефолтную политики, но которые созданы командой Exchange.
Более подробно посмотреть что входит в определенную роль можно командой:
Get-ManagementRole myBaseOptions | fl
В выводе этой команды очень много информации, я предлагаю вам посмотреть это самостоятельно. Но я приведу для пояснений небольшой кусок:
Set-MailboxSpellingConfiguration -CheckBeforeSend -Confirm -DictionaryLanguage -ErrorAction -ErrorVariable -Identity -IgnoreMixe dDigits -IgnoreUppercase -OutBuffer -OutVariable -WarningAction -WarningVariable -WhatIf,
Как мы видем, тут используется командлет Set-MailboxSpellingConfiguration, который позволяет пользователям модифицировать опции проверки правописания в Microsoft Office Outlook Web App. К примеру, вы можете устанавливать нужный вам язык и настраивать проверку на игнорирование цифр, слов в верхнем регистре и прочее..
Пользователь, у которого есть права на выполнение данного командлета, после залогинивания в ECP способен выполнять следующие действия:
Изменением роли вы можете запретить пользователю редактировать определенные опции проверки правописания, или вообще удалить этот командлет.
На этом сегодня все, в дальнейшем мы рассмотрим RBAC более полно.
Автор: Brian Tirch